Se promulga la Ley General de Protección de Datos de Brasil, pero la Autoridad Nacional de Protección de Datos (ANPD) es vetada.

Después de ocho años desde la primera consulta pública promovida por el Ministerio de Justicia, la Ley 13.709/2018, conocida como Ley General de Protección de Datos (LGPD), fue sancionada el martes (14) por el presidente Michel Temer. La LGPD proviene del PLC 4.060/2012, que se convirtió en el PLC 53/2018, de la Cámara de Diputados, que crea un marco regulatorio sobre la protección de datos personales en territorio brasileño y modifica la Ley 12.965/16 (Marco Civil da Internet). Considerando el  período de vacatio legis de 18 meses  , la ley entrará en vigor en febrero de 2020.

El momento de la entrada en vigor de esta ley no es una mera coincidencia. Su paso por el Senado se produjo bajo un régimen de urgencia, impulsado por la entrada en vigor de la legislación europea de protección de datos, el  Reglamento General de Protección de Datos  (GDPR), en mayo de este año. El RGPD ha obligado a muchas empresas brasileñas que operan en la Unión Europea o que procesan datos de ciudadanos europeos a adaptarse para evitar las elevadas multas estipuladas en esta ley y la pérdida de contratos con socios locales. Entre las nuevas normas, se estableció la exigencia de niveles adecuados de ciberseguridad en los países a los que se transfieren los datos de ciudadanos europeos.

En este contexto, las principales economías mundiales también buscan responder a recientes incidentes de filtración de datos, como el de Cambridge Analytica, que utilizó indebidamente datos de usuarios estadounidenses de Facebook con fines electorales, y el de Brasil, donde el Ministerio Público señaló un supuesto esquema de venta de datos personales de brasileños por parte del Servicio Federal de Procesamiento de Datos (Serpro) a otros organismos de la administración pública. La LGPD

(Ley General de Protección de Datos de Brasil) busca adaptar las prácticas de las empresas brasileñas a estos nuevos estándares y al panorama actual, colocando a Brasil entre los más de 120 países que cuentan con una ley de protección de datos. La ley regula el uso, la protección y la transferencia de datos personales en Brasil, tanto en el sector público como en el privado, tanto en línea como fuera de línea. Analicemos algunos de los puntos principales:

Ámbito de aplicación :  aplicable a cualquier actividad que implique el uso de datos personales, tanto en el sector público como en el privado, en línea o fuera de línea, incluidas las relaciones laborales y de consumo.

Aplicación extraterritorial : las empresas extranjeras con sucursales en Brasil o que ofrecen servicios al mercado nacional también están sujetas a la ley.

Datos personales, sensibles, anonimizados y públicos : se han establecido conceptos y normas específicos para cada tipo de dato recopilado, almacenado y compartido.

Autorización para el tratamiento de datos.Para el procesamiento de datos personales, que incluye la recopilación de datos, siempre será necesaria una base legal, siendo el consentimiento solo una de las 10 hipótesis enumeradas por la LGPD (Ley General de Protección de Datos de Brasil) que autorizan el uso de datos.

Principios de protección de datos : la LGPD enumera 10 principios básicos de protección de datos, que incluyen la finalidad, la necesidad, la transparencia, la seguridad, la no discriminación, la rendición de cuentas y la presentación de informes.

Derechos de los titulares de los datos : los titulares de los datos tendrán amplios derechos, incluido el derecho a la información, el acceso, la rectificación, la cancelación o eliminación, la oposición y la portabilidad.

Delegado de Protección de Datos (DPD) : toda empresa sujeta a la LGPD debe tener un delegado de protección de datos, que será una persona designada por el responsable del tratamiento para actuar como canal de comunicación entre el responsable del tratamiento y los titulares de los datos y la Autoridad Nacional.

Seguridad : los responsables del procesamiento de datos deben adoptar medidas de seguridad técnicas y administrativas capaces de proteger los datos personales.

Notificación obligatoria : la notificación a la ANPD (Autoridad Nacional de Protección de Datos) sobre la ocurrencia de incidentes de seguridad de la información será obligatoria dentro de un plazo razonable. La ANPD también puede determinar la notificación a los titulares de los datos involucrados y la divulgación pública del incidente, dependiendo de la gravedad del caso.

Sanciones : La ANPD puede aplicar sanciones administrativas por infracciones a la LGPD, que van desde amonestaciones hasta multas que pueden alcanzar los R$ 50.000.000,00 (cincuenta millones de reales) por infracción.

Autoridad Nacional de Protección de Datos : La LGPD estableció la Autoridad Nacional de Protección de Datos (ANPD), una autoridad pública vinculada al Ministerio de Justicia, responsable de supervisar la aplicación de la ley, que puede establecer directrices para la protección de datos personales en Brasil y tendrá la responsabilidad de desarrollar la «Política Nacional de Protección de Datos y Privacidad», con facultades para supervisar y aplicar sanciones, entre otras actividades. Además, se creó el Consejo Nacional de Protección de Datos y Privacidad, un órgano asesor que asistirá a la ANPD.

Sin embargo, la sanción del presidente Temer incluyó vetos a ciertas disposiciones de la ley, en particular a la creación de la ANPD y del Consejo Nacional. La justificación de esta exclusión radica en la prohibición legal que impide al Poder Legislativo crear organismos que generen gastos para el Presupuesto, lo que generaría una «vicia de iniciativa», ya que solo el Poder Ejecutivo tiene esta prerrogativa. Considerando la importancia fundamental de estos organismos para la aplicabilidad de la ley, en las próximas semanas el Poder Ejecutivo debería crearlos mediante una medida provisional o un nuevo proyecto de ley de su propia autoría.

También se vetaron disposiciones que habrían impedido el intercambio de datos personales por parte de las Autoridades Públicas con entidades privadas, bajo el argumento de que esta prohibición podría hacer inviable la prestación de servicios públicos, así como el Artículo 28 en su totalidad, que preveía la publicidad de la comunicación o uso compartido de datos personales entre organismos y entidades públicas, ya que haría inviable el ejercicio regular de algunas acciones públicas, como la inspección, el control y la policía administrativa.

Finalmente, se vetaron algunas sanciones previstas en el Artículo 52 del Proyecto de Ley, como la suspensión o prohibición del ejercicio de actividades de procesamiento de datos y la suspensión parcial o total del funcionamiento de las bases de datos. Este veto se debió al riesgo de inseguridad para los responsables de tales actividades y a los daños resultantes de la indisponibilidad de las bases de datos.

Por lo tanto, considerando el uso generalizado de datos personales en las operaciones diarias de empresas de diversos sectores en Brasil, la LGPD (Ley General de Protección de Datos de Brasil) exigirá un esfuerzo significativo para que se adapten a este nuevo escenario lo antes posible, dado que el período de adaptación es corto considerando todas las medidas a adoptar. Al igual que con el RGPD europeo, la adopción tardía de medidas puede generar dificultades operativas e incluso la aplicación de fuertes sanciones administrativas.

El abogado Luiz Guilherme Silveira Franco (  lfranco@dvwca.com.br )  está a su disposición para cualquier aclaración adicional que se considere necesaria sobre este tema.